Datatilsynet politianmelder to kommuner efter sikkerhedsbrud

Datatilsynet har for første gang den 10. marts 2020 besluttet at politianmelde to kommuner for overtrædelse af reglerne i GDPR. De konkrete sager omhandler Gladsaxe Kommune og Hørsholms Kommune, som efter Datatilsynets vurdering ikke har opfyldt kravene om et passende sikkerhedsniveau ved kommunernes behandling af personoplysninger.
News
GDPR

Sagerne kort

Begge sager udspringer oprindeligt fra tyveri af computere, som blev stjålet fra henholdsvis Gladsaxe Rådhus og fra en medarbejders bil i Hørsholm Kommune. Datatilsynet har i forbindelse med kommunernes anmeldelse af hændelserne som datasikkerhedsbrud konstateret, at ingen af computerne – som i begge tilfælde indeholdt personoplysninger af følsom karakter – var beskyttet med kryptering. Datatilsynet har derfor vurderet, at kommunernes sikkerhedsniveau ikke har været tilstrækkeligt og dermed været forbundet med en unødig høj risiko for de implicerede borgere.

Datatilsynet har besluttet at anmelde Gladsaxe Kommune og Hørsholm Kommune til politiet og indstiller til, at der nedlægges påstand om, at de to kommuner idømmes en bøde på hhv. 100.000 kr. og 50.000 kr.

Du kan læses mere om Datatilsynets bødeindstilling af de to kommuner her.   

Lund Elmer Sandagers kommentar

Det har længe været genstand for debat, om offentlige myndigheder kan indstilles til bøder ved overtrædelser af GDPR. Denne debat må nu i første omgang siges at være afklaret med Datatilsynets bødeindstillinger, idet det dog skal understreges, at sagerne nu skal gå sin gang ved politiet og i sidste ende ved domstolene, inden der foreligger en endelig afklaring.

I den forbindelse har Folketingets Retsudvalg for nyligt stillet spørgsmål til Justitsministeriet om sagsbehandlingstiden i de tidligere bødesager om brud på databeskyttelseslovgivningen, hvor der stadig ikke er rejst formelle tiltaler. Den ene sag mod taxaselskabet 4x35 blev anmeldt den 18. marts 2019 og den anden sag mod virksomheden IDdesign, der blev anmeldt den 3. juni 2019. Ifølge Justitsministeriets svar til Folketingets Retsudvalg forventes det, at overvejelserne om tiltalerejsning vil være afsluttet inden sommerferien i begge sager.

Sagerne mod Gladsaxe Kommune og Hørsholms Kommune er også en vigtig reminder til alle, herunder både offentlige myndigheder og private virksomheder, om vigtigheden af et passende sikkerhedsniveau ved behandling af personoplysninger. Det gælder især ved behandling af personoplysninger af følsom karakter, hvor kryptering bør anvendes for at hindre uvedkommendes adgang – også i den situation, at IT-udstyr bortkommer, bliver stjålet eller i øvrigt bliver udsat fra udefrakommende angreb.  

Har du brug for rådgivning om GDPR og for hjælp til at sikre, at du overholder reglerne, herunder i forhold til kravene om et passende sikkerhedsniveau i din virksomhed, er du altid velkommen til at kontakte Lund Elmer Sandagers specialister i GDPR og databeskyttelse, advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.